Варијанта злонамерног софтвера за Андроид HOOK

Истраживачи сајбер безбедности идентификовали су нову варијанту тројанског коња за банкарство за Андроид, познатог као HOOK, који сада садржи преклапања у стилу ransomware-а, дизајнирана за изнуду жртава. Ово означава значајну еволуцију у његовим могућностима, померајући га даље од традиционалног банкарског малвера.

Изнуда у стилу рансомвера

Један од најупечатљивијих додатака у најновијој варијанти је могућност постављања прекривача ransomware-а преко целог екрана. Овај прекривач приказује претећу поруку „УПОЗОРЕЊЕ“, праћену динамички преузетом адресом новчаника и износом откупа са командног и контролног (C2) сервера.

Екран за изнуду се даљински покреће када C2 сервер пошаље команду „ransome“ и може се затворити када нападач изда инструкцију „delete_ransome“.

Корени у ERMAC банкарском тројанцу

HOOK се сматра директним изданаком банкарског тројанца ERMAC, чији је изворни код претходно процурео на интернет. Баш као и ERMAC, HOOK се у великој мери ослања на Андроидове услуге приступачности и лажне преклапајуће екране како би украо акредитиве, аутоматизовао финансијске преваре и преузео контролу над зараженим уређајима.

Напредне функције шпијунаже и експлоатације

Поред крађе акредитива, HOOK се може похвалити разним инвазивним функцијама. Може:

• Шаљите СМС поруке на бројеве које контролише нападач.
• Стримујте уживо пренос са екрана жртве.
• Снимајте слике помоћу предње камере.
• Украдите колачиће и фразе за опоравак повезане са криптовалутним новчаницима.

Ове функције истичу HOOK-ову конвергенцију са могућностима шпијунског софтвера, дајући нападачима широке могућности надзора и крађе.

Проширење даљинских команди

Најновија верзија HOOK-а подржава 107 даљинских команди, са 38 новододатих могућности. Оне побољшавају његову способност обмањивања корисника и прикупљања осетљивих података.

Неке од најзначајнијих нових команди укључују:

• ransomware – Приказује прекривач у стилу ransomware-а на уређају
• delete_ransome – Уклања прекривач ransomware-а
• takenfc – Приказује лажни NFC екран за скенирање података картице

• unlock_pin – Приказује лажни екран за откључавање ради крађе ПИН-ова или шаблона уређаја

• takencard – Имитира Google Pay да би фишингом добио податке о кредитној картици

• start_record_gesture – Користи транспарентни слој за снимање корисничких покрета

Велики дистрибутивни канали

Истраживачи су пратили дистрибуцију HOOK-а до фишинг веб-сајтова и лажних GitHub репозиторијума који хостују злонамерне APK датотеке. Употреба GitHub-а за дистрибуцију малвера није нова, породице попут ERMAC и Brokewell су се такође прошириле путем платформе, што показује њену растућу популарност међу актерима претњи.

Замагљивање линије између категорија злонамерног софтвера

Брза еволуција HOOK-а одражава забрињавајући тренд у мобилним претњама: конвергенцију банкарских тројанаца, шпијунског софтвера и техника рансомвера. Константним проширивањем својих функција и ширењем кроз кампање великих размера, HOOK представља све већи ризик за финансијске институције, предузећа и свакодневне кориснике Андроида.